Portal da Privacidade

A Lei Geral de Proteção de Dados, Lei nº 13.709/18, dispõe sobre o tratamento dos dados pessoais, estejam eles em meios físicos (analógicos/off-line) ou digitais (on-line), com o objetivo de proteger os direitos fundamentais de liberdade e privacidade, além do livre desenvolvimento da pessoa natural (física). Isso significa dizer que a LGPD não se aplica aos dados de pessoas jurídicas, como razão social ou CNPJ.

Sim! A LGPD entrou em vigor oficialmente no dia 18 de setembro de 2020, porém as sanções previstas só serão aplicadas a partir do dia 1 de agosto de 2021.

A LGPD é aplicável às pessoas físicas e jurídicas (de direito público ou privado) que tratam dados pessoais.

Todas as informações relacionadas a uma pessoa física identificada ou identificável que revelam aspectos que dizem respeito a ela. Estamos falando de nome, RG, CPF, endereço, estado civil, profissão, registros de ligação, registros de acesso a aplicações de internet, contas de e-mail, hábitos, gostos e interesses etc.

São os dados pessoais que podem gerar algum tipo de discriminação, como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Toda operação realizada com os dados pessoais, como acesso, coleta, produção, recepção, reprodução, classificação, utilização, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Para prestar seus serviços e disponibilizar os produtos, visando à execução regular do contrato firmado com seus associados e beneficiários; para o cumprimento de obrigações legais e regulatórias; para exercer seus direitos em eventual processo administrativo, judicial ou arbitral; e para resguardar seus legítimos interesses etc., conforme nossa Política de Privacidade.

É o documento que explica como funciona o tratamento dos seus dados, para qual finalidade, com quem são compartilhados e por quanto tempo serão armazenados etc.

Os responsáveis são os chamados "agentes de tratamento". Eles são subdivididos em controlador e operador. A LGPD previu o conceito de "agentes de tratamento" para apontar na legislação as obrigações e responsabilidades que envolvam essas duas figuras.

Pessoa física, ou empresa do setor público ou privado, que determina a finalidade e a forma de tratamento dos dados pessoais.

Aquele que, ordenado pelo controlador, realiza atividades com os dados pessoais.

A pessoa física, dona dos dados tratados.

a) Confirmação da existência de tratamento: solicitar a confirmação da existência de tratamento de dados pessoais.
b) Acesso aos dados: solicitar acesso aos dados pessoais.
c) Correção de dados incompletos, inexatos ou desatualizados: direito de requisitar a correção de dados incompletos, inexatos ou desatualizados.
d) Anonimização, bloqueio ou eliminação de dados: direito de ter garantida a desvinculação ou solicitar o bloqueio ou a exclusão de uma informação ou conjunto de dados pessoais quando julgar serem desnecessários, excessivos ou tratados em desconformidade com a Lei.
e) Portabilidade: direito de requerer a transferência dos dados pessoais para qualquer fornecedor de serviços ou produtos.
f) Eliminação dos dados fornecidos mediante consentimento: direito de solicitar a eliminação dos dados pessoais tratados com o consentimento do titular, excetuadas determinadas hipóteses legais.
g) Informação de compartilhamento: direito de obter informações sobre as instituições públicas ou privadas com as quais os seus dados são compartilhados.
h) Informação sobre não fornecer consentimento: direito de saber que poderá não fornecer o seu consentimento para determinado tratamento e quais seriam as consequências da negativa a esse específico consentimento.
i) Revogação de consentimento: direito de manifestar a revogação, isto é, extinguir o consentimento anteriormente ofertado em relação ao tratamento dos seus dados pessoais.
j) Petição: direito de peticionar em relação aos dados pessoais perante a autoridade nacional contra o controlador.
k) Oposição: direito de questionar o tratamento dos seus dados pessoais quando realizado em descumprimento à LGPD.
l) Revisão de decisão automatizada: direito de solicitar esclarecimento a respeito dos critérios e dos procedimentos utilizados para tratamento automatizado de dados pessoais que afetem seus interesses.

Sim, desde que você seja representante legalmente constituído e mediante comprovação.

A Omint disponibiliza um canal exclusivo para atender às demandas relativas à privacidade e proteção de dados, pelo qual o titular pode entrar em contato com nosso encarregado de dados para exercer qualquer um dos seus direitos: privacidade@omint.com.br

É a exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado, em atendimento à requisição do titular ou por ordem da Autoridade Nacional de Proteção de Dados - ANPD ou do poder judiciário.

É a suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados, em atendimento à requisição do titular ou por ordem da Autoridade Nacional de Proteção de Dados - ANPD ou do poder judiciário.

É a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, ao titular dos dados. Isto é, o dado é desvinculado de determinada pessoa, de modo que seja impossível identificá-la. Vale acrescentar que um dado só é considerado efetivamente anonimizado se não permitir, por meios técnicos e/ou outros, a reconstrução do caminho para “redescobrir” quem era o titular daqueles dados. Nesse caso, a LGPD não será aplicada, já que, sendo anonimizado, perde sua característica de ser pessoal.

São dados que perdem a possibilidade de associação direta ou indireta a uma pessoa, necessitando de informações adicionais, mantidas separadamente pelo controlador em ambiente controlado e seguro, para sua efetiva identificação. Nessa hipótese, a LGPD será aplicada, tendo em vista que os dados pseudonimizados são passíveis de tornar uma pessoa identificável.

O direito de eliminação é garantindo ao titular. No entanto, a solicitação para exclusão de dados essenciais para a manutenção e gestão de seu cadastro, assim como para a execução de eventual contrato ou atingimento de outros objetivos, poderá acarretar na impossibilidade de prestação do serviço ou oferta do produto. Além disso, alguns dados não poderão ser excluídos, pois ainda poderemos utilizá-los para cumprimento de obrigações legais, contratuais, regulatórias e/ou para o exercício regular de nossos direitos. 

No Brasil, conhecido como encarregado, o DPO (Data Protection Officer) é a pessoa indicada pelo controlador/operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados - ANPD.

Sim! A Omint possui uma área de privacidade que fornece um canal para dúvidas e informações a respeito da LGPD e sua aplicação no Grupo Omint: privacidade@omint.com.br.

Órgão da administração pública federal, com autonomia técnica e decisória, responsável por zelar pela proteção dos dados pessoais, assim como por orientar, regulamentar e fiscalizar o cumprimento da LGPD.

a) Advertência.
b) Multa de até 2% do faturamento do Grupo no Brasil (até o limite de R$ 50 milhões por infração) .
c) Multa diária com o teto acima.
d) Tornar pública a infração.
e) Bloqueio dos dados pessoais envolvidos.
f) Eliminação dos dados pessoais envolvidos.
g) Suspensão parcial do funcionamento do banco de dados envolvidos de 6 (seis) a 12 (doze) meses.
h) Suspensão do exercício da atividade de tratamento dos dados pessoais envolvidos de 6 (seis) a 12 (doze) meses.
i) Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

a) Reincidência.
b) Boa-fé.
c) Condição econômica.
d) Proporcionalidade.
e) Pronta adoção de medidas corretivas pelo infrator.
f) Mecanismos e procedimentos internos de proteção de dados adotados.
g) Políticas de boas práticas e governança adotadas.
h) Cooperação do infrator.
i) Grau do dano, gravidade.

Não! Além das sanções previstas na LGPD, outras sanções administrativas, civis ou criminais poderão ser aplicadas em caso de descumprimento da lei.

São as hipóteses previstas na lei que autorizam o tratamento dos dados pessoais pelos agentes.

É o conjunto de normas ou padrões de conduta que moldam a estrutura legal que deverá ser seguido por uma pessoa ou instituição. São mandamentos do que se pretende alcançar com a lei. Os princípios da LGPD são:

a) boa-fé: o tratamento de dados pessoais deverá ser realizado com ética, coerência, de maneira respeitosa e transparente adequação e transparência;
b) finalidade: o tratamento e a utilização de dados pessoais terão de ser feitos sempre com propósitos legítimos, determinados, específicos, explícitos e informados ao titular, não podendo ser utilizados para finalidade diversa da estabelecida;
c) necessidade: a coleta de dados pessoais deve ocorrer de forma limitada ao mínimo necessário para que a utilização seja adequada e restrita às suas finalidades;
d) adequação: o tratamento de dados coletados deverá estar em conformidade com o propósito para o qual foram obtidos e informados ao titular;
e) livre acesso: garantia aos titulares do direito à consulta facilitada e gratuita sobre a forma e duração do tratamento de seus dados, bem como sobre a integralidade dessas informações;
f) qualidade dos dados: garantia aos titulares de evidenciar exatidão, clareza, relevância e atualização de seus dados, de acordo com as necessidades e finalidades do tratamento;
g) transparência: garantia aos titulares de que as informações disponíveis a seu respeito são claras, precisas e facilmente acessíveis para qualquer verificação necessária, respeitados os segredos industriais e comerciais utilizados pelos agentes de tratamento;
h) segurança: utilização de medidas técnicas e de gestão aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação etc.;
i) prevenção: obrigatoriedade na adoção de medidas para prevenir qualquer fato ou ato que propicie danos aos titulares de dados pessoais;
j) não discriminação: impossibilidade de os dados pessoais serem utilizados para fins discriminatórios ilícitos ou promover abusos contra os seus titulares;
k) prestação de contas: também conhecido como princípio do accountability, é a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e das medidas adotadas.

A LGPD prevê 10 (dez) bases legais. São elas:

a) consentimento: manifestação livre, informada e inequívoca (podendo ser específica e destacada) pela qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade determinada;
b) cumprimento de obrigação legal ou regulatória: para cumprimento de obrigação legal ou outras normas, caso exista determinação prévia. Isto é, aquela que procede de uma lei ou de outro instrumento normativo (decretos, resoluções etc.);
c) execução de políticas públicas: base aplicada exclusivamente à Administração Pública, direta ou indireta, com a finalidade do desenvolvimento de políticas públicas.
d) realização de estudos por órgãos de pesquisa: legitima o tratamento de dados com a finalidade específica de pesquisas científicas, tecnológicas, históricas etc., desde que feitas por órgão de pesquisa;
e) execução de contrato ou procedimento anteriores a ele: para o cumprimento de uma obrigação prevista em um contrato, ou seja, uma obrigação contratual de que faça parte o titular ou ao pedido deste;
f) exercício regular de direitos: em processo judicial, administrativo ou arbitral para exercer seus direitos;
g) proteção da vida ou da incolumidade física: para o tratamento de dados nas situações graves em que a vida do titular ou de um terceiro estiver em iminente risco;
h) tutela da saúde (exclusivamente em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária): para prestação de serviços essenciais à saúde, por profissionais da área da saúde ou entidades sanitárias;
i) legítimo interesse: para atender aos interesses do controlador ou de um terceiro, quando esse interesse não ultrapassar os direitos e as liberdades fundamentais do titular dos dados e respeitar suas expectativas;
j) proteção do crédito: para tomar decisão acerca da concessão ou não de crédito, mediante informações sobre adimplência e inadimplência de determinado titular.

É a manifestação livre (oportunidade de o titular dispor ou não de dados que não sejam fundamentais à prestação de um eventual serviço ou produto), informada (possibilidade dada ao titular para que tenha conhecimento sobre o tratamento de seus dados, bem como as consequências de dispor deles) e inequívoca (concordância com o disposto pelo controlador em relação aos seus dados) pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada. Ou seja, é a autorização que o titular confere ao controlador para tratar seus dados.

Sim! Nas hipóteses em que o consentimento for fornecido para o tratamento de dados sensíveis, além de ser livre, informado e inequívoco, ele deverá ser ainda específico (manifestado em relação a propósitos clara e previamente determinados) e destacado (garantido o acesso efetivo ao documento que esclarecerá todos os fatos sobre o tratamento de dados). Ou seja, para tratamento de dados sensíveis, o consentimento terá mais requisitos para sua validade.

Em alguns casos você poderá se deparar com a impossibilidade da prestação do serviço ou aquisição do produto pela Omint. Nesses casos, você será previamente informado sobre a recusa e suas consequências.

Não. Há um equívoco em afirmar que o consentimento é a principal base legal, pois ela é apenas uma das 10 (dez) bases para as quais o legislador permitiu o tratamento de dados pessoais. Sendo assim, não existe hierarquia entre as bases legais previstas.

Existem 3 (três) princípios que devem ser observados prioritariamente no tratamento de dados pessoais, pois guardam relevância prática e são determinantes para o respeito à LGPD: finalidade, necessidade e adequação.
Por isso, antes mesmo de realizar qualquer tratamento de dados pessoais, se pergunte:

a) finalidade: qual o motivo desse tratamento? O que pretendo fazer com os dados? Existe um propósito legítimo e específico para esse tratamento? A legislação permite? É possível explicar ao titular de maneira explícita o por quê desse tratamento?;
b) adequação: como vou colocar em prática o que pretendo ao tratar dados pessoais? Existe compatibilidade/contexto com as finalidades anteriormente informadas?;
c) necessidade: a finalidade pode ser atingida sem o tratamento de dados pessoais? Os dados que pretendo tratar são realmente necessários? Como posso atingir a finalidade do tratamento com o mínimo de dados possíveis?

É a transferência (compartilhamento) de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro, desde que proporcionem grau de proteção de dados pessoais em nível adequado. No entanto, o assunto ainda será regulamentado pela Autoridade Nacional de Proteção de Dados - ANPD, que definirá os modelos ideais de compartilhamento a serem utilizados.

A Omint poderá compartilhar dados pessoais com terceiros para prestar os serviços e oferecer produtos contratados, para ações de marketing e prospecção, para operacionalizar novos produtos e serviços, para cumprimento de obrigação legal etc. Porém, observaremos sempre os limites da estrita necessidade desse compartilhamento, assegurando todas as medidas e salvaguardas para a proteção dos dados pessoais, bem como exigiremos que o destinatário tenha condições de resguardar a confidencialidade e adequada proteção por parte dele.

É toda comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Via de regra, até atingirmos o objetivo pelo qual ele foi coletado. Ou seja, os dados pessoais serão eliminados quando deixarem de ser necessários para as finalidades previamente definidas ou mediante solicitação do titular, desde que ela não conflite com o cumprimento de obrigações legais, contratuais, regulatórias e/ou para o exercício regular de nossos direitos.

É uma violação ou ameaça à violação de qualquer medida/política de segurança, privacidade e proteção de dados instituída na empresa. Em outras palavras, são situações acidentais ou ilícitas que ocorrem com os dados pessoais, como acessos não autorizados, dados pessoais coletados, modificados, deletados, alterados, perdidos etc. de forma inadequada ou, ainda, comunicados, enviados ou compartilhados ("vazados") indevidamente etc.

Em síntese, é a transmissão (compartilhamento, envio) não autorizada de informações para destinatários fora da relação organizacional ou o uso indevido dentro da própria empresa. Ou seja, podemos considerar o vazamento de dados como uma das espécies do gênero “incidente de segurança”, portanto, não há diferença. Assim como a deleção/modificação indevida de um dado, por exemplo, o vazamento é apenas um tipo de incidente de segurança.

Em caso de qualquer incidente de segurança, incluindo vazamentos, entre em contato imediatamente com a área de Privacidade da Omint pelo e-mail privacidade@omint.com.br ou pelos demais canais oficiais.

A Omint utilizará medidas técnicas e organizacionais apropriadas para realizar o levantamento e tomar providências a fim de reparar possíveis danos e/ou prejuízos e evitar novos incidentes, além de comunicar o titular e a ANPD, quando necessário.

Tendo em vista a orientação proferida pela Autoridade Nacional de Proteção de Dados - ANPD de que o prazo de comunicação em caso de incidente de violação de dados pessoais é de 2 dias úteis, o prazo adotado pela Omint para comunicação de eventual incidente pelo(a) operador(a) de dados é de 24 horas ou 1 dia útil, sob pena de prejudicar o(a) controlador(a) em sua análise e demais providências.

Existem alguns requisitos mínimos para garantir a privacidade e a proteção de dados pessoais para qualquer tipo de tratamento, para que ele não seja inadequado ou ilícito. Por isso, no seu dia a dia, observe e adote:

a) a prática justa e ética na utilização (manuseio, retenção e descarte) do dado pessoal;
b) a comunicação clara, objetiva e transparente com o usuário/titular do dado;
c) o olhar atento para possíveis fragilidades e/ou vulnerabilidades;
d) o cuidado com os dados pessoais antes do envio/compartilhamento;

Se quiser informar qualquer atualização sobre seus dados, fale conosco por um dos nossos canais digitais: site ou APP Minha Omint.

Além de poder exercer seu direito de acesso previsto na LGPD mediante requisição, você pode facilmente consultar seus dados cadastrais junto à operadora e os dados do seu plano de saúde no Espaço do Consumidor disponibilizado pela ANS – Agência Nacional de Saúde Suplementar, o COMPROVA: http://www.ans.gov.br/planos-de-saude-e-operadoras/espaco-do-consumidor/dados-cadastrais-do-consumidor/comprova-comprovante-de-dados-cadastrais-do-consumidor

Desde a promulgação da LGPD, a Omint já vem pensando e providenciando as adequações necessárias que a lei exige. Dessa forma, até janeiro de 2021, a empresa realizou diversas medidas, inclusive de segurança da informação, como mapeamento de dados e riscos, alinhamento de processos com os colaboradores, prestadores de serviços, parceiros e demais empresas do Grupo, criação de um canal de dúvidas e contato sobre privacidade e proteção de dados, adaptação de contratos e outros documentos, criação da política de privacidade e de novas políticas internas relacionadas ao tema. Também organizou treinamentos, entre outros, para garantir a privacidade e a proteção dos dados pessoais tratados aqui dentro.

Para informações complementares acesse o Informe de Privacidade e Proteção de Dados.

São vários os motivos: integrar de forma padronizada as regras sobre proteção de dados pessoais; aumentar a segurança jurídica no tratamento dos dados pessoais de forma ética, responsável e segura; manter a credibilidade e fortalecer a confiança dos consumidores, clientes e colaboradores; promover o desenvolvimento econômico e tecnológico; e possibilitar novos investimentos (tendo em vista possuirmos uma lei de nível adequado que o mercado exige). Além disso, a área da saúde é uma das mais vulneráveis por tratar grande quantidade de dados sensíveis e, ainda, é uma das líderes no ranking de incidentes com dados pessoais.